zurück zur Übersicht

Test: Anti Malware Lösungen im Vergleich

UPDATE: Es gibt eine neue Version des Endpoint Protection Solutions Report (EPSR). Mehr dazu in diesem Artikel!

Nachdem sich der letzte Artikel zum Thema Antivirus (oder treffender: Anti-Malware) mit dem Bereich der Consumerlösungen beschäftigt hat (Sie finden ihn hier), wenden wir uns jetzt dem Profibereich zu.

Anders als beim heimischen Computer haben wir es hier schon grundsätzlich mit einer völlig anderen Bedrohungslage zu tun:

  • Nicht nur breit gestreute Attacken sondern auch fortschrittliche, gezielte Angriffe und APTs (Advanced Persistent Threats) müssen abgewehrt werden (mehr zu gezielten Angriffen auf Firmen)
  • Aufwändige Taktiken wie Social Engineering lohnen sich im Businessbereich so richtig
  • Schon ein einziger erfolgreicher Angriff kann immensen Schaden anrichten
  • Die verzweigte und komplexe Netzwerkstruktur mit oft hunderten oder tausenden Arbeitsplätzen ist schwer zu überblicken. So fallen erfolgte (und erfolgreiche) Angriffe oft erst nach Wochen auf – wenn überhaupt
  • Die Schadenssummen bei Produktionsausfall, Datenverlust oder unbeabsichtigtem „Wissenstransfer“ sind immens, ebenso wie der Image-Schaden
  • Daraus folgt: es gibt „etwas zu holen.“ Allein schon die Existenz von Versicherungen gegen Cyberangriffe zeigt, dass Unternehmen (leider oft erst zu spät) bereit sind, Geld in die Hand zu nehmen. Das zieht natürlich Kriminelle an.

Es liegt natürlich auf der Hand, dass das Geld besser in Schutzmaßnahmen investiert ist, als in die Bezahlung eines Cybererpressers – oder eine dubiose Versicherung (hierzu mehr im Artikel „Sichern oder Versichern?„). Angegriffene Firmen finden sich dennoch oft in der Situation wieder, dass die Bezahlung des Lösegeldes (beispielsweise im Falle einer Ransomware-Attacke) günstiger ist, als die schwerwiegenden Konsequenzen, wenn mehrere Standorte für einige Tage lahm gelegt sind.

Aber was ist mit dem nächsten Erpresser? Und dem übernächsten?

Um nicht zur Cash-Cow für Cyberkriminelle zu werden, sind intelligente Abwehrsysteme gefragt, die den Angriff vereiteln können, bevor er richtig begonnen hat.

Endpoint Defence ist essenziell für die Abwehr

Der Einstiegspunkt für erfolgreiche Angriffe – und mögen sie noch so hinterhältig und ausgeklügelt sein – ist auch im Jahr 2017 noch ein kompromittierter Rechner, bzw. Endpoint. Von hier aus versucht der Angreifer sich mit seiner Malware im Netzwerk zu kritischen Systemen vorzuarbeiten.

Endpoint-Security-Lösungen müssen sich in der heutigen Zeit ständig an neue Bedrohungen anpassen. Das Gebot der Stunde ist die Einbeziehung künstlicher Intelligenz (KI), um potenziell schädliche Software zu erkennen.

Das Ziel unserer Untersuchung war, einen Vergleich zwischen der neuen Generation von Endpoint-Security-Lösungen und herkömmlichen AV-Produkten zu ziehen, die schon länger am Markt bestehen.

Die Frage, die sich dabei ergibt, lautet: Ist die Erkennungsrate traditioneller Antivirus-Produkte weiterhin ausreichend oder bieten die neuen Lösungen einen nennenswerten Vorteil im Kampf gegen aktuelle Malware?

Untersuchte Lösungen

Next-Gen-Lösungen:

CylanceProtect in der Version 1400
CylanceProtect geht einen ganz neuen Ansatz bei der Bekämpfung von Malware und Exploits. Zur Identifizierung von Malware wird fast ausschließlich auf künstliche Intelligenz gesetzt, die durch maschinelles Lernen erkennt, ob eine Datei gut- oder bösartig ist. Die KI erkennt Malware durch Untersuchung von Binaries und dlls, ohne sie ausführen zu müssen (pre-execution und predictive). Zusätzlich zur KI nutzt Cylance weitere Schutzmodule wie z.B. Script Control zum Schutz vor VBA-Scripts oder Excel-Makros, die häufig bei Ransomware eingesetzt werden.

SOPHOS Endpoint Protection 2017 mit Intercept X
Intercept X erweitert den SOPHOS Anti-Viren Schutz u.a. um Threat- und Exploit-Erkennung. Unerlaubte Verschlüsselungsaktivitäten (wie z.B. bei Ransomware) werden durch ein gesondertes Modul von Intercept X (CryptoGuard) verhindert. Intercept X soll durch diese Erweiterungen Zero-Day-Malware erkennen, im Vorfeld verhindern und damit den klassischen AV-Ansatz mittels Signaturdatenbanken ergänzen.

Palo Alto Networks Traps in der Version 3.4.3
Traps ist vor allem auf Exploits spezialisiert, bietet aber auch einen geeigneten Schutz gegen Malware. Hierfür nutzt Traps die von Palo Alto Networks selbstentwickelte Cloud „WildFire“. Executables werden auf WildFire hochgeladen und dort analysiert und ausgewertet u.a. mit Sandbox-Techniken. Ein entsprechendes Urteil, ob die Executables gut- oder bösartig sind, gibt WildFire dann wieder zurück.

Herkömmliche Lösungen:

Symantec Endpoint Protection 14
Die Profi-Lösung von Symantec bietet viele neue und verbesserte Erkennungsfunktionen zusätzlich zu seiner Signaturdatenbank. Es werden z.B. Verhaltensanalysen, maschinelles Lernen sowie statische Analysen benutzt, um Malware zu erkennen.

Kaspersky Endpoint Security for Business Advanced 2017
Kaspersky Endpoint Security for Business bietet einen Schutz für den PC, Mac und für mobile Endgeräte. Die Schutzmodule sind ähnlich wie bei Symantec EP 14. Es ist ein Anti-Viren Scanner mit Signaturdatenbank integriert und zusätzlich besteht die Möglichkeit einer heuristischen Analyse von Dateien. Außerdem sind Module wie ein Password Manager, Schutz für mobile Geräte, eine Firewall und eine Programmkontrolle integriert.

Testkriterien und Methodik

Insgesamt wurden 559 Malware Samples, die durch einen Packer (mpress.exe) gepackt wurden, im Test eingesetzt. Das Packen dient der Mutation der Malware-Samples, sodass die Samples neue Signaturen aufweisen und ihr Hash-Wert daher „unbekannt“ ist. In der Regel ist die Dateigröße bei einer Mutation kleiner als die des Originals. Dennoch können mutierte Malware Samples ihren Schadcode weiterhin ausführen. Gewöhnliche Anti-Viren-Systeme sollten die Malware anhand ihrer Signaturdatenbank nicht mehr erkennen können. Anschließend wurden die Malware-Samples ausgeführt. Das Schlüsselkriterium für den Test der Endpoint-Security-Lösungen war die Erkennungsrate.

  • Alle Endpoint-Security-Lösungen wurden unter den gleichen Bedingungen im Zeitraum von 30 Tagen im 1.Qartal 2017 getestet:
  • Damit die Malware-Samples z.B. weitere bösartige Dateien herunterladen können und die Endpoint-Security-Lösungen ihre besten Ergebnisse zeigen können (z.B. durch Cloud-Anbindung), wurde ein Online-Zugriff ermöglicht.
  • Es wurden nur mutierte Samples genutzt, die neue unbekannte Hash-Werte aufwiesen.
  • Für den Test wurde neueste Zero-Day-Malware (ca.150 Stück) und Ransomware (ca. 70 Stück) benutzt. Die restlichen Malware-Samples waren höchstens 30 Tage alt.
  • Die Signaturdatenbanken (falls vorhanden) der Endpoint Security Solutions wurden auf den neuesten Stand gebracht.
  • Falls die Endpoint Security Solution eine Scanfunktion hatten (alle getesteten außer Traps), wurden die Malware-Samples vor der Ausführung gescannt.
  • Abschließend wurden die Malware-Samples ausgeführt und die Erkennungsrate ermittelt.

Die Malware-Samples stammen aus verschiedenen bekannten Quellen. Folgende wurden benutzt:
, http://dasmalwerk.eu, http://malc0de.com/database/, http://testmyav.com

Next-Gen-Lösungen deutlich überlegen

Das Ergebnis dieser Untersuchung ist, dass die neue Generation gegenüber herkömmlichen Endpoint-Security-Lösungen einen klaren Vorteil in Bezug auf Erkennungsrate und Performance bietet.

Cylance Protect, Palo Alto Networks Traps und SOPHOS Endpoint Protection mit Intercept X bieten Erkennungsraten von über 95%. Die konventionellen Lösungen reichen an diese Rate nicht annähernd heran. Selbst unter Idealbedingungen bleibt die Erkennung bei knapp 75%.

Bemerkenswert ist dabei besonders die auf künstliche Intelligenz (KI) gestützte Erkennung von CylanceProtect. Als einziges getestetes Programm konnte Cylance bereits vor der Ausführung mehr als 80% der Malware erkennen. Dadurch erhalten Schadprogramme garnicht mehr die Chance, irgendeinen Schaden anzurichten.

Ein weiterer Vorteil der neuen Lösungen: Sie kommen mit weit weniger Signaturupdates aus als herkömmliche Antivirus-Software, oder verzichten sogar ganz darauf. Der Nutzen ist klar: Die Next-Generation-Lösungen lassen sich stressfrei auch in komplexen Netzwerkstrukturen ausrollen und benötigen keinen permanenten Onlinezugang, um sich mit Updates zu versorgen. (Mehr Details zu den Testergebnissen im kostenlosen Whitepaper )

Next-Generation-Endpoint-Lösungen haben mit Abstand die besten Erkennungsquoten für aktuelle Malware

Performance

Ein weiterer kritischer Bereich wurde getestet: Die Beeinträchtigung des Systems durch die Antivirus Lösung.

Auch dabei erwiesen sich die Next-Generation-Lösungen als deutliche Verbesserung. Im Normalzustand lag die Prozessorlast bei allen Softwares im Test bei ca. 2-3%. Wurde allerdings eine Malware ausgeführt, stieg die Auslastung besonders bei den konventionellen Lösungen auf 100% an. Die entsprechende Workstation war also für längere Zeit praktisch unbenutzbar.

Nicht so bei Rechnern, die mit CylanceProtect oder Traps ausgestattet waren. Die Malware wurde quasi im Vorbeigehen erledigt, bei weniger als 10% Prozessorauslastung.

Auch was den Arbeitsspeicherverbrauch angeht liegen die beiden Lösungen vorn: sie begnügen sich mit 50 MB Speicherbedarf und weniger. Kaspersky verbraucht im Vergleich bis zu 800 MB.

Fazit

„Next-Generation-Antivirus“ ist nicht nur ein griffiges PR-Buzzword, es steckt auch was dahinter.

Das spiegelt sich nicht nur in der erheblich besseren Erkennungsquote der neuen Lösungen wieder.

Systembedingte Vorteile wie der deutlich verringerte Pflegeaufwand durch den weitgehenden Wegfall lästiger Signaturupdates und der deutlich geringere Ressourcenhunger machen die Administration leichter. Weiterer Vorteil: auch Arbeitsrechner, die systembedingt über längere Zeit keinen Internetzugang haben, bleiben weitgehend geschützt. Bei einem signaturgestützten Ansatz ist das nicht gewährleistet.

Wer heute über ein Upgrade der Antivirus-Lösung nachdenkt, kommt an der neuen Generation nicht vorbei.

Übrigens, Sie finden die detaillierten Testergebnisse als Whitepaper auf der Seite von iT-CUBE SYSTEMS zum kostenlosen download.

Hier gehts zu den Testergebnissen >>

 


Bild: ©iT-CUBE SYSTEMS AG 2017

2 Kommentare

  • von Hendrik Leps am 29.09.2017, 14:50 Uhr

    Toller Test, mich würde da dann mal der Vergleich zwischen Cylance, SentinelOne, Malwarebytes und Carbon Black interresieren. Vielleicht können Sie Ihren Test ja mal in diese Richtung anpassen.

    • Franz Haertl
      von Franz Haertl am 02.10.2017, 8:19 Uhr

      Hallo Herr Leps, Es freut uns, wenn Ihnen der Test gefällt. Tatsächlich planen wir in Zukunft auch noch mehr Lösungen im EPSR zu untersuchen. Allerdings gibt es in der Endpoint Protection viele grundverschiedene Ansätze, von denen manche wunderbar funktionieren solange sie in ein bestimmtes Sicherheitskonzept eingebettet sind. Außerhalb davon können sie ihre Stärken aber nicht ausspielen. Ein Test wäre dann unter Umständen nicht aussagekräftig oder würde sehr komplexe Ausmaße annehmen. Ich kann also nicht garantieren, dass jede der vorgeschlagenen Lösungen im EPSR auftauchen wird. Übrigens, demnächst kommt die dritte Auflage des Reports heraus. Für die Livepräsentation können Sie sich unter https://info.it-cube.net/de/previewreport anmelden!

Schreibe einen Kommentar